Le rôle du RSSI dans la lutte contre les risques de la culture « move fast, fail fast »

Le concept du « aller vite, échouer vite » comporte de nombreux risques. Prenez votre temps pour gagner la course grâce à une action méthodique et ciblée.

De nos jours, de nombreux gouvernements misent leur avenir sur la technologie. En France, la transformation numérique est un pilier important du plan national et figure en bonne place dans la liste des priorités du gouvernement. Tout au long de l’histoire de l’humanité, la technologie a été largement associée au progrès, la pandémie mondiale n’a fait qu’accélérer le processus de numérisation. Nous sommes ainsi entrés dans une course effrénée, et les responsables des Technologies de l’information et de la communication ont des décisions rapide à prendre.

Les DSI sont actuellement tiraillés dans deux directions. D’un côté, les acteurs métiers qui réclament plus de souplesse, plus de services et une meilleure expérience utilisateur pour leurs clients et collaborateurs. Ils affirment que si l’entreprise ne peut pas simplifier la vie du client celui-ci ira voir ailleurs, et que si elle ne peut pas donner aux employés les moyens d’agir simplement ceux-ci partiront. Agilité est le “maître mot”, ces acteurs semblent obsédés par le concept sous-jacent.

De l’autre côtés, les acteurs de l’entreprise mobilisés autour de la gestion du risque poussent le DSI dans la direction inverse. Les RSSI font évidemment partie de cette catégorie. Ils comprennent au combien il est important d’aller vite et d’être Agile, mais ils abordent l’évolution de l’entreprise sous un angle différent.

L’escalade des risques

Mais tout en appréciant l’attrait du paradigme « move fast, fail fast », le RSSI doit y rester opposé sur le plan opérationnel. Le développement de logiciels effectué dans un environnement de « course à délivrer de nouveaux services» peut être profitable pour l’entreprise, le marché et la productivité. Il peut même être essentiel pour certaines entreprises. Mais le RSSI d’aujourd’hui doit juger ces pratiques à l’aune des tendances récentes. Les environnements informatiques qu’ils se doit de protéger ont subi des changements importants dans leur topologie. De multiples domaines définissent désormais le réseau de l’entreprise, le rendant ainsi très hétérogène. Par exemple, les utilisateurs sont maintenant dispersés dans de nombreux environnements. On les retrouve, dans les locaux contrôlés par l’entreprise, des environnements tiers non contrôlés ainsi qu’à leur domiciles.

Lorsqu’il s’agit d’informatique agile, continuer comme avant est, dans l’esprit du CISO, l’annonce d’une catastrophe annoncée tôt ou tard.

Le responsable de la sécurité doit donc formuler un message qui touche tous les acteurs de l’entreprise et les amène à réfléchir au risque à chaque étape du cycle de développement. Alors que les DSI cèdent devant la détermination des responsables marketing et l’anxiété des membres du conseil d’administration, les RSSI doivent être la voix de la raison.

Les RSSI doivent tirer parti de leur position de gestionnaires de risques pour signaler tous les cas où la mise en œuvre de l’informatique agile conduit à l’abandon de la gouvernance des risques de l’entreprise. Par ailleurs, Ils doivent chercher des moyens d’établir une nouvelle chaîne de responsabilité en cas d’incident  liée à la gestion du changement, en insistant pour que les responsables des projets agiles assument la responsabilité de tout incident survenu en l’absence de diligence raisonnable en matière de sécurité.

La sécurité comme norme

SecDevOps est un exemple de changement de ces cultures qui inclue la sécurité comme un élément indispensable – la prise en compte des risques devient une exigence standard pour tous les projets. Les RSSI en savent suffisamment pour faire valoir de manière convaincante qu’il est plus facile, plus économique et plus efficace d’intégrer la sécurité dès le départ et à chaque étape du projet. Ils doivent insister sur ce point et ne jamais permettre que la sécurité soit reléguée à un ajout de type assurance qualité à la fin du cycle de développement.

Pour assurer la sécurité de leurs employés et de leurs clients dans le paysage moderne des menaces, les entreprises et leurs équipes technologiques doivent reconnaître qu’une sécurité robuste ne se limite pas à une simple conformité réglementaire. Ils doivent plaider en faveur de l’investissement dans les outils les plus efficaces et, si possible, recourir à des équipes d’audit indépendantes (red-teams) qui jouent le rôle de hackers afin d’identifier les vulnérabilités.

Aujourd’hui, les expériences numériques se vivent dans de multiples environnements. Il est impératif que les outils de sécurité permettent aux équipes opérationnelles d’identifier les menaces dans les environnements hybrides et multi-clouds. Par ailleurs, l’outillage de sécurité doit aujourd’hui s’adapter aux faiblesses et au vulnérabilités apportées par certains logiciels ou mécanismes de gestion d’identité. Il est indispensable que les outils de sécurité soient eux aussi agiles pour répondre de manière souples à l’évolution rapide des entreprises. Le RSSI doit rester ferme en terme de gestion des risques, mais il doit également se donner les moyens d’avoir un outillage performants qui lui permet de faire quelques concessions et au final de “dormir sur ses deux oreilles”.

Lenteur et régularité

Il est naturel qu’un dirigeant d’entreprise, ou même un DSI, souhaite une informatique agile. À cet égard, leur rôle est avant tout d’aller vite. Il est donc normal que leurs actions se concentrent sur la mise à disposition de nouveaux services, plutôt que d’avoir le regard fixé sur les risques. Les RSSI ont un rôle différent à jouer et apporte une réponse plus mesurée aux attentes du marché. Ils doivent rappeler à leurs collègues l’impact et combien peut être coûteux un cyber-incident pour l’entreprise.

Les projets agiles ont plus que jamais leur place dans l’entreprise d’aujourd’hui. Mais pour un succès durable, Les risques doivent impérativement être pris en compte. Ce qui exige une action méthodique et ciblée.

Nombreux sont encore ceux qui, autour du RSSI, lèvent les yeux au ciel lorsqu’ils entendent dire que « les risques doivent être traités avant de progresser ». Néanmoins si les responsables de la sécurité exposent avec ténacité l’impact et les couts qui consisteraient à ne pas suivre leurs recommandations, ils auront à terme toujours gain de cause.